Критическая уязвимость в Firefox и Thunderbird: ошибка в уведомлениях угрожает полным захватом системы

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярные продукты Mozilla. Эксперты присвоили ей идентификатор BDU:2025-15641 и общий идентификатор CVE-2025-14323. Данная проблема представляет собой серьёзную угрозу, поскольку позволяет удалённому злоумышленнику получить полный контроль над системой жертвы. Уязвимость обнаружена в интерфейсе уведомлений (Notification API) браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird.

Детали уязвимости

Техническая суть проблемы заключается в небезопасном управлении привилегиями, классифицируемом как CWE-269. Конкретно, речь идёт об ошибке типа "выход за границы буфера" при обработке объектов DOM (Document Object Model). Проще говоря, при манипуляции с уведомлениями в браузере или клиенте электронной почты возникает сбой управления памятью. Этот сбой создаёт условия для выполнения произвольного кода. Следовательно, злоумышленник может использовать уязвимость для эскалации привилегий, то есть повышения уровня своих прав в системе.

Уровень опасности этой уязвимости оценивается как критический. Система оценки CVSS версии 2.0 присваивает ей максимальный балл 10.0. Более современная метрика CVSS 3.1 определяет базовый балл 8.8, что соответствует высокому уровню опасности. Разница в оценках обусловлена эволюцией самой системы метрирования. Однако оба значения сигнализируют о чрезвычайной серьёзности угрозы. Вектор атаки предполагает, что для эксплуатации уязвимости не требуется аутентификации, но необходимо взаимодействие с пользователем, например, посещение специально созданной вредоносной веб-страницы.

Под угрозой находятся все пользователи, не обновившие своё программное обеспечение. Уязвимые версии включают Firefox до версии 146, Firefox ESR до версий 140.6 и 115.31, а также Thunderbird до версий 146 и 140.6. Важно отметить, что уязвимость уже подтверждена производителем, компанией Mozilla Corp. К счастью, способ устранения проблемы хорошо известен и доступен всем пользователям. Необходимо срочно обновить программное обеспечение до актуальных версий.

Mozilla оперативно отреагировала на обнаружение угрозы. Компания выпустила ряд бюллетеней безопасности, которые содержат все необходимые патчи. Пользователям следует обратиться к официальным рекомендациям по ссылкам MFSA2025-92, MFSA2025-93, MFSA2025-94, MFSA2025-95 и MFSA2025-96. Обновление происходит стандартным образом через встроенные механизмы программ. Например, в Firefox нужно зайти в меню "Справка" и выбрать пункт "О Firefox". Браузер автоматически проверит и установит последние обновления безопасности.

На данный момент информация о наличии активных эксплойтов, то есть реальных инструментов для использования уязвимости, уточняется. Тем не менее, высокая критичность оценки делает вероятным скорое появление таких атак в дикой природе. Уязвимости класса "выход за границы буфера" исторически часто используются сложными угрозами, включая целевые атаки (APT). Поэтому задержка с обновлением может привести к тяжёлым последствиям, таким как кража конфиденциальных данных или установка вредоносного ПО, включая программы-вымогатели (ransomware).

Данный инцидент в очередной раз подчёркивает важность своевременного обновления всего программного обеспечения, особенно браузеров и почтовых клиентов. Эти приложения являются ключевыми точками входа для кибератак, поскольку активно взаимодействуют с недоверенным контентом из интернета. Регулярное применение исправлений безопасности остаётся самым эффективным способом защиты. Эксперты по кибербезопасности рекомендуют не откладывать обновление и по возможности настроить его автоматическую установку для всех продуктов Mozilla.

Детали уязвимости

Ссылки